Adobe Flash Player の Primetime SDK における Use-After-Free の脆弱性(Scan Tech Report) | ScanNetSecurity
2020.02.20(木)

Adobe Flash Player の Primetime SDK における Use-After-Free の脆弱性(Scan Tech Report)

Adobe Flash Player に含まれている SDK に、ポインタ制御の不備が報告されています。

脆弱性と脅威 エクスプロイト
◆概要

Adobe Flash Player に含まれている SDK に、ポインタ制御の不備が報告されています。攻撃者が作成した悪意のある SWF ファイルに、脆弱性が存在する Adobe Flash Player が有効化された Web ブラウザでアクセスした場合に、悪意のあるコードが実行されてしまい、端末の制御を奪われてしまう可能性があります。脆弱性が修正されたバージョンが公開されているため、アップデートを適用して脆弱性に対応してください。

◆分析者コメント

クライアントサイドの脆弱性では、ここ数ヶ月にエクスプロイトコードが公開された数式エディタの脆弱性 (CVE-2018-0802、CVE-2017-11882) などが公開されています。当該脆弱性は Adobe Flash Player が有効化されているブラウザに対して幅広く悪用可能な脆弱性であるため、攻撃者による標的型攻撃キャンペーン活動に積極的に悪用する可能性が高い脆弱性です。脆弱性が修正された Adobe Flash Player にアップデートすることにより早急に対策してください。

◆深刻度(CVSS)

[CVSS v2]
7.5
https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?name=CVE-2018-4878&vector=(AV:N/AC:L/Au:N/C:P/I:P/A:P)

[CVSS v3]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2018-4878&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

◆影響を受けるソフトウェア

Adobe Flash Player のバージョン 28.0.0.137 以下が当該脆弱性の影響を受けます。

◆解説

Adobe Flash Player に、遠隔から任意のコードが実行可能となる脆弱性が公開されています。

《株式会社ラック サイバー・グリッド研究所》

関連記事

PageTop

特集

アクセスランキング

  1. gmai.com ドメインは実在、タイプミス誤送信 法人情報流出(新潟県)

    gmai.com ドメインは実在、タイプミス誤送信 法人情報流出(新潟県)

  2. ハードディスクのデータ消去メニューに「磁気消去」「物理破壊」を追加(AOSデータ)

    ハードディスクのデータ消去メニューに「磁気消去」「物理破壊」を追加(AOSデータ)

  3. 保有ドメインへ不正アクセス、迷惑メール送信の踏み台に(日本郵便)

    保有ドメインへ不正アクセス、迷惑メール送信の踏み台に(日本郵便)

  4. ScanNetSecurity BASIC MEMBERS 会員限定記事 ログインパスワード発行 URL のおしらせ  (対象:2015 年7 月 15 日 より前に無料メルマガ「Scan BASIC」の読者であったみなさま)

    ScanNetSecurity BASIC MEMBERS 会員限定記事 ログインパスワード発行 URL のおしらせ (対象:2015 年7 月 15 日 より前に無料メルマガ「Scan BASIC」の読者であったみなさま)

  5. JR山手線で寝ている間にUSBメモリやノートPC置き引き(筑波大学附属高等学校)

    JR山手線で寝ている間にUSBメモリやノートPC置き引き(筑波大学附属高等学校)

  6. 新型コロナウイルスに関する注意喚起メール誤送信、24事業者アドレス流出(神戸市)

    新型コロナウイルスに関する注意喚起メール誤送信、24事業者アドレス流出(神戸市)

  7. Windows版「ウイルスバスター クラウド」にDoSの脆弱性(トレンドマイクロ、JVN)

    Windows版「ウイルスバスター クラウド」にDoSの脆弱性(トレンドマイクロ、JVN)

  8. 厳格化するサイバー規制とダークウェブ活動、そこに相関は?

    厳格化するサイバー規制とダークウェブ活動、そこに相関は?

  9. 学生がUSBメモリ紛失、実習で作成した個人情報を保存(天使大学)

    学生がUSBメモリ紛失、実習で作成した個人情報を保存(天使大学)

  10. 三菱電機「MELSEC C言語コントローラユニット」などに複数の脆弱性(JVN)

    三菱電機「MELSEC C言語コントローラユニット」などに複数の脆弱性(JVN)

ランキングをもっと見る